» Помощь при лечении компьютера от вирусов

Здравствуйте. У меня такая проблема.
Виндоуз XP отключился, после включения пропал интернет: локал ареа конекшон не работает, при клике на нее реакции нет. дайл ап включается и сразу отключается сам по себе. Файрвол выдает ошибку и не работает.

вот логи.


ttp://zalil.ru/33022983 Avz_log.txt

RSIT:
http://zalil.ru/33022998 log.exe
http://zalil.ru/33023003 Info.txt

llelen
Внимательно прочитайте шапку и получите логи именно так, как там написано.

http://zalil.ru/33024514 virusinfo_syscure.zip

RSIT:
http://zalil.ru/33024522 log.txt
http://zalil.ru/33024524 info.txt

llelen
D:\WINDOWS\system32\DRIVERS\ipsec.sys имеется в наличии?

имеется.

доп. также отсуствуут все знаки на трее кроме знака авири. в папке нетворк конекшонс рядом с ярликом локал ареа конекшон написано connected, но ни ярлика в трее, ни интернета нет. если по нему кликат и нажимат repair, говорит Failed query TCP/IP settings of the connection.

Добавлено:
скажите хотя бы ето вирус? касперски сейчас проверяет, херез флешку поставила наконец, но ничего не находит. даже папки нормально не могу открыть, минут три думает прежде чем открыть.

может удалить сервис пак 3? и ремонтировать хп? я просто боюсь без вашего ответа что-то делать, хуже сделаю.

просто сам по себе отключился, и потом именно интернета нет, даже дайл ап отклчючает после подключения, и файрволл не работает. из-за того заподозрила вирус.

Добрый день!
У меня вопрос, вирус попался такой, который файлы ,на флешке, некоторые поменял местами, точнее файл содержанием но с названием от другого файла, и приписал к файлу помимо doc,jpeg, приписал .LIC

Я так думаю,что в этой теме вирусов не бояться.
Проверьте плиз архив,что там качается.
http://0free.ru/45327-astroburn-pro-3010175-multi-russkiy.html
Скачать с Dropbox
Astroburn Pro 3.0.1.0175
Размер дистр.с офсайта 8Мб,а здесь 13.6.С чего это он так потяжелел?.

Цитата:

Проверьте плиз архив,что там качается.
http://0free.ru/45327-astroburn-pro-3010175-multi-russkiy.html
Скачать с Dropbox

вот что это https://www.virustotal.com/file/dde1530c52fc72b6f59ad8550214cf94cf00026fce6aadf129fc77697f148ac1/analysis/1334698910/

Возникают проблемы с сервером, выскакивает:

Generic Host Process for Win32 Services — обнаружена ошибка. Приложение будет закрыто. Просим извинения за неудобства.

Сервер является контроллером домена, DNS и DHCP сервером

Версия ОС: Windows Server 2003 R2

заплатки все установлены.

логи:
https://docs.google.com/file/d/0B3EWIwigDr5Udlc3Q0Yta1JzRGs/edit

Kiter70
Добрый день. На первый взгляд ничего вредоносного нет. Похоже на сбой какой-то службы. Что в журнале событий Windows по этому поводу?

gjf
Такой месседж вылазит регулярно:

Код: Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Kiter70
Сделайте лог с помощью GMER.
gmer.log

GMER лог

https://docs.google.com/file/d/0B3EWIwigDr5Ud3NqSHpPMWF3STQ/edit

Kiter70
Нет у Вас вирусов.

ради интереса запустил гмер -
во вкладке руткит-малваря вижу 2 строки:
AttachedDevice \Driver\Kbdclass \Device\Keyboardclass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics.inc)
AttachedDevice \Driver\Kbdclass \Device\Keyboardclass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics.inc)

- Это как понимать?
Дрова к нему, как помнится, сливал еще в 9 году, когда ставил систему на этом ноуте.
Почему данные дрова считаются руткитами?

gjf
Спасибо, если ошибка опять проявится будем копать в другом направлении.

bredonosec
А никто ничего и не считает руткитами, простое указание на перехват событий клавиатуры драйвером клавиатуры. Где хоть слово про руткит?

Kiter70
Проверьте внимательно журнал событий. Такое впечатление, что падает какая-то служба.

gjf

Цитата:

А никто ничего и не считает руткитами, простое указание на перехват событий клавиатуры драйвером клавиатуры. Где хоть слово про руткит?

ну, название вкладки )
я так понял, там оно должно отображаться )

И есть-ли некие ключи проверки логов? Или как и в случаях скрина процессов или чего еще - только проверка "знакомые-незнакомые названия" + гугл на незнакомые?

bredonosec
Ну в базисе - так и есть. А в жизни - сложнее. Книжки читать + практика.
Дальше - в ПМ, не будем оффтопить, тут этого и так хватает.

Нод 32 находит вирус, но не может его удалить. Работоспособность машина упала. Выдает подобную вещь - Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = explorer.exe(688)    вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа    очистка невозможна
С трояном жить не очень... Логи ниже

http://rghost.ru/37752592
http://rghost.ru/37752620
http://rghost.ru/37752634

Kawashik
- Выполните скрипт:

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Kano Kun\Главное меню\Программы\Автозагрузка\sURBwzuhW68.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); {запретить отправку приглашений удаленному помошнику}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

Добрый день форумчане. проблема такая? на рабочем компе пойман вирус еxplorer. exe(1876) модифицированный троян , лежит в оперативной памяти, не удаляется, Антивирусник NOD/
Подскажите что мне сделать.
Спаисбо убили руками, и доктором вебомза пол дня

sergei1963

Цитата:

Подскажите что мне сделать.

Прочитать шапку темы и сделать, как там описано.

Компьютер №1 Win XP 3SP
Kaspersky Virus Removal Tool 2011 находит trojan.bat.killfiles.pf
Удаляет, после перезагрузки снова его находит.
Интернет глючит.
\avz4\log\virusinfo_syscure.zip
http://rghost.ru/37921188
RSIT log.txt
http://rghost.ru/37921226
RSIT info.txt
http://rghost.ru/37921235

anis1079
Находит случайно не в файлах типа _uninst_ какие-то_циферки.bat? Это фолс на свой же деинсталлятор

Пофиксите в HiJack

Код: O20 - AppInit_DLLs:

подскажите пжс какие есть еще online глобальные ресурсы или программные комплексы, типа Secunia, позволяющие делать проверку на вирусы файлов и учитывать новые уязвимости.
В качестве дипломной работы разрабатывается рабочее место аналитика вредоносного ПО, которое может поступать на FTP сервер при открытом поступлении файлов на него из интернета. Т.е задача аналитика проверять все новые поступающие файлы на отстутствие вредоносного кода. Интересует обзор программ анализаторов вирусной активности, начиная от встроенных модулей в Internet Security Suites до профессиональных, которые используются у вендоров антивирусных продуктов.

Anti-Malware.ru - первый в России независимый информационно-аналитический
центр, полностью посвященный информационной безопасности.

Дополняйте список пожалуйста: AVZ; Virustotal; Secunia.

Также утилиты типа: HiJack; Security Advisor Tool; Anvir task manager;...

krserv
Это не тема данного раздела.

Доброго времени суток всем.

Жена подцепила вредоносное ПО, которое зашифровало все графические файлы, mp3, flac, ape, MSOffice Docs, PDF и бог что еще знает, при этом, видео-файлы не задеты (хоть это хорошо). Сама система работает вполне нормально (но на всякий случай все равно буду переставлять).После шифрования благополучно удалилось, потому что новые файлы не шифруются, а просматриваются, прослушиваются, открываются вполне нормально.

После шифрования не создались никаких файлов дубликатов, с какими-то подозрительными расширениями, в инете уже почитал немного о такого рода вредоносных ПО. Вирус вывел такое вот сообщение:

ПРИВЕТ Я ЗЛОЙ И СТРАШНЫЙ ВИРУС КОТОРЫЙ БЛОКИРОВАЛ РАБОТУ ТВОИХ ФАЙЛОВ
ЕСЛИ ХОЧЕШЬ УВИДЕТЬ СВОИ ФАЙЛЫ ВНОВЬ ПИШИ НА ПОЧТУ МОЕМУ ХОЗЯИНУ
zinbin1@yahoo.com.vn

Попробовал утилиты дешифраторы от DrWeb и Kapserа, не помогли. Открыл один из зашифрованных граф.файлов в Блокноте, что увидел на вскидку сразу, первые 12 байт изменены относительно оригинального файла, благо абсолютное большинство семейной коллекции фото месяца 2-3 назад сохранил на съемном диске.

Вот такие вот дела. Если кто встревал с такой проблемой и поборол, поделитесь опытом.

Очень жалко новые фото, что не успел забэкапить, а также коллекцию аудио-файлов

Спасибо всем кто откликнется.

SkorpEaGLe
Вам сюда: http://forum.ru-board.com/topic.cgi?forum=55&topic=1363&glp#lt

Спасибо за правильное направление